Shared Patterns¶
Gemeinsame Konventionen und Patterns ueber alle Projekte hinweg.
Runtime¶
Alle Projekte nutzen Docker Compose als Container-Runtime. Kein Kubernetes in Produktion.
Siehe: ADR-001: Docker Compose statt Kubernetes
Reverse Proxy¶
Traefik als Reverse Proxy mit automatischen Let's Encrypt Zertifikaten. Routing ueber Docker-Labels, TLS 1.2+, Security-Headers.
Siehe: ADR-002: Traefik als Reverse Proxy
Provisioning¶
Bash-Skripte mit set -euo pipefail. Idempotent, ausfuehrbar ohne externe Abhaengigkeiten.
Dependency Updates¶
Renovate fuer automatische Docker-Image-Updates in allen Repos.
DNS¶
Cloudflare fuer DNS-Verwaltung in allen Projekten. API-gesteuerte Records, kein Proxying.
Security Hardening¶
- Container:
no-new-privileges: true,cap_drop: ALL, explizitescap_add - SSH: Key-only Auth,
MaxAuthTries 3, kein Root-Login - Firewall: UFW + fail2ban auf allen Servern
- Secrets: Nie im Klartext, generiert via
openssl randoder Proton Pass